Archives par mot-clé : rgpd

Communiqué de presse, Cybersécurité, Emploi, Entreprise, Securite informatique

Le CAC 40 en tête des entreprises les plus dynamiques dans le monde

Les réglementations (loi de programmation militaire, RGPD…) et le besoin de confiance numérique ont incité les entreprises à développer une véritable culture du risque et à investir massivement dans des dispositifs de cybersécurité. Toutefois, si 100% des entreprises du CAC 40 agissent désormais en matière de cybersécurité, plaçant ainsi la France dans le peloton de tête des pays les plus actifs sur le sujet, la portée du risque sur l’activité des entreprises est encore sous-évaluée. Une réalité qui se constate aussi dans les innovations technologiques des entreprises, qui font souvent l’impasse sur la cybersécurité. C’est ce que révèle une étude du cabinet Wavestone sur les niveaux de maturité des entreprises dans le domaine de la cybersécurité. Pour cette nouvelle édition, les experts ont analysé les communications financières (notamment via leur rapport annuel et leur document de référence), publiés au 1er juin 2019, de 260 entreprises cotées dans le principal indice boursier des pays où Wavestone est présent : CAC 40, Dow Jones, FTSE 100, BEL20, SMI, HSI. Les résultats de cette étude unique donnent un aperçu du niveau de maturité déclaré des entreprises et de son évolution, sur différents aspects : implication des comités exécutifs, investissements en cybersécurité, RGPD…

Cybersécurité : Le CAC 40 progresse encore…

Pour évaluer le niveau de maturité des entreprises dans le domaine de la cybersécurité, les équipes du cabinet ont mis au point le financial communication cybermaturity index. Celui-ci permet d’évaluer les enjeux et les risques, la gouvernance et la réglementation, ainsi que les actions de protection mises en place dans les entreprises. Sur la base de cet index, les entreprises du CAC 40, qui étaient en dessous de la moyenne en 2017, progressent en 2018 (10,07/20 + 1,07 VS 2017).

Ainsi, ce sont 100 % des entreprises du CAC 40 qui mentionnent les enjeux de sécurité dans leur rapport annuel et qui se mobilisent sur le sujet de la protection des données personnelles (RGPD) (+42 points VS 2017). Ce sujet majeur pour les entreprises concerne désormais une majorité des comités exécutifs : 50% (+25 points VS 2017) des groupes du CAC 40 adressent la problématique de la cybersécurité au niveau du comité exécutif.

Une prise de conscience qui se constate aussi dans la nette progression de la prise de fonction de DPO (Data Protection Officer) dans les entreprises (52,5 % en 2018 VS 13% en 2017).

Plus encore qu’en 2017, les secteurs de la finance (14,77 % / +3,89 pts VS 2017) et des technologies de l’information (12,05% / +0,89 pts VS 2017) sont les locomotives du niveau de maturité des entreprises du CAC 40.

… et caracole en tête des entreprises les plus matures dans la prévention des cyber-risques dans le monde

Parmi les 260 entreprises analysées sur les 6 places de marché (CAC 40, Dow Jones, FTSE 100, BEL20, SMI, HSI), le CAC 40 se place dans le peloton de tête des entreprises les plus matures sur la prise en compte de la cybersécurité dans les communications financières (10,07/20), juste derrière les Etats-Unis (10,15/20).

Si la France et les Etats-Unis s’illustrent dans le secteur de la finance, c’est le secteur des technologies de l’information qui dominent au Royaume-Uni et en Belgique.

Les résultats dévoilent aussi des cultures et des pratiques différentes autour de la cybersécurité : c’est aux Etats-Unis que l’implication du COMEX sur les problématiques en lien avec la cybersécurité est le plus fréquemment citée dans les rapports d’activité des entreprises (83%), devant le Royaume-Uni (61%), la France et la Belgique (50%). D’autre part, avec 46% de mentions faites sur les niveaux d’investissements en matière de cybersécurité, le Royaume-Uni valorise les investissements via des programmes de cybersécurité, contre 30% à 35% en France et aux Etats-Unis et 15% en Belgique.

Avec l’entrée en vigueur du règlement général sur la protection des données européen (RGPD), les entreprises françaises du CAC 40 mettent la Privacy à l’honneur, en affichant leurs ambitions sur la problématique dans l’ensemble de leurs rapports d’activité.

Alors que l’exemple français aurait pu susciter un éveil des autres pays européens sur la mise en place du RGPD, ce sont finalement les Etats-Unis (87%) qui se rapprochent de la France (100%) dans le domaine de la Privacy, suivis par la Belgique (75%) et le Royaume-Uni (71%).

Des investissements conséquents sur des programmes de cybersécurité, des actions en cybersécurité plus rares dans les technologies innovantes

Si les rapports d’activités font rarement mention des niveaux d’investissements engagés par les entreprises du CAC 40, le cabinet Wavestone a observé une augmentation des entreprises qui font état d’investissements conséquents dans des programmes de sécurité (35% / +22,5 pts VS 2017). Pourtant, dans le même temps, les entreprises font preuve d’un certain attentisme lorsqu’il s’agit d’investir dans des plans d’actions unitaires (45% en 2018 / – 35 pts VS 2017).

En témoignent aussi, des programmes d’innovation qui font toujours l’impasse sur la cybersécurité. En effet, alors que les projets liés à la 5G font leur apparition dans les entreprises du CAC 40, seul 1 projet fait le lien avec la cybersécurité. Une tendance qui se confirme aussi dans les domaines de l’IoT et de l’IA où seuls 2 chantiers sont liés à la cybersécurité, alors que le nombre de projets innovants ne cesse de croître dans ces domaines (58% pour l’IA / +12 pts VS 2017 – 45% pour l’IOT / +10 pts VS 2017). La cybersécurité reste toujours absente des projets dans le domaine de la Blockchain.

« Même si les résultats montrent une progression de la prise en compte de la cybersécurité, la France et le CAC40 restent en retrait sur la mobilisation effective des fonctions dirigeantes de l’entreprise. Alors que c’est une condition sine qua none au succès des programmes de cybersécurité ! », déclare Gérôme Billois, Partner cybersécurité et confiance numérique au sein de Wavestone.

Base de données, Communiqué de presse, Cybersécurité, Entreprise, Fuite de données, Justice, loi, RGPD, Securite informatique

SERGIC : sanction de 400 000€ pour atteinte à la sécurité des données et non-respect des durées de conservation

La formation restreinte de la CNIL a prononcé une sanction de 400 000 euros à l’encontre de la société SERGIC pour avoir insuffisamment protégé les données des utilisateurs de son site web et mis en œuvre des modalités de conservation des données inappropriées.

La société SERGIC est spécialisée dans la promotion immobilière, l’achat, la vente, la location et la gestion immobilière. Pour les besoins de son activité, elle édite le site web www.sergic.com. Ce dernier permet notamment aux candidats à la location de télécharger les pièces justificatives nécessaires à la constitution de leur dossier.

En août 2018, la CNIL a reçu une plainte d’un utilisateur du site indiquant avoir pu accéder, depuis son espace personnel sur le site, à des documents enregistrés par d’autres utilisateurs en modifiant légèrement l’URL affichée dans le navigateur. Un contrôle en ligne réalisé le 7 septembre 2018 a permis de constater que des documents transmis par les candidats à la location étaient librement accessibles, sans authentification préalable. Parmi ces documents figuraient des copies de cartes d’identité, de cartes Vitale, d’avis d’imposition, d’attestations délivrées par la caisse d’allocations familiales, de jugements de divorce, de relevés de compte ou encore d’identité bancaire.

Le jour même de son contrôle, la CNIL a alerté la société de l’existence de ce défaut de sécurité et de la violation de données personnelles consécutive. Quelques jours plus tard, un contrôle sur place a été réalisé dans les locaux de la société. A cette occasion, il est apparu que la société avait connaissance de la vulnérabilité depuis le mois de mars 2018 et que, si elle avait entamé des développements informatiques pour les corriger, ce n’est que le 17 septembre 2018 que la correction totale est devenue effective.

Sur la base des investigations menées, la formation restreinte – organe de la CNIL chargé de prononcer les sanctions – a constaté deux manquements au règlement général sur la protection des données (RGPD).

400 000 euros !

Tout d’abord, la formation restreinte de la CNIL a considéré que la société SERGIC a manqué à son obligation de préserver la sécurité des données personnelles des utilisateurs de son site, prévue par l’article 32 du RGPD. La société n’avait pas mis en place de procédure d’authentification des utilisateurs du site permettant de s’assurer que les personnes accédant aux documents étaient bien celles à l’origine de leur téléchargement, alors qu’il s’agissait d’une mesure élémentaire à prévoir. Ce manquement était aggravé d’une part, par la nature des données rendues accessibles, et d’autre part, par le manque particulier de diligence de la société dans sa correction : la vulnérabilité n’a été définitivement corrigée qu’au bout de 6 mois et aucune mesure d’urgence visant à limiter l’impact de la vulnérabilité n’a été prise dans l’attente.

Ensuite, la formation restreinte a constaté que la société conservait sans limitation de durée en base active l’ensemble des documents transmis par les candidats n’ayant pas accédé à location au-delà de la durée nécessaire à l’attribution de logements.

Conservation des données

Or, la formation restreinte a rappelé que, par principe, la durée de conservation des données personnelles doit être déterminée en fonction de la finalité du traitement. Lorsque cette finalité (par exemple, la gestion des candidatures) est atteinte, et qu’aucune autre finalité ne justifie la conservation des données en base active, les données doivent soit être supprimées, soit faire l’objet d’un archivage intermédiaire si leur conservation est nécessaire pour le respect d’obligations légales ou à des fins pré-contentieuses ou contentieuses. Dans ce cas, les données doivent être placées en archivage intermédiaire, par exemple dans une base de données distincte. Là encore, la durée de cet archivage doit être limitée au strict nécessaire.

La formation restreinte a prononcé une amende de 400 000 euros, et décidé de rendre publique sa sanction. La formation restreinte a notamment tenu compte de la gravité du manquement, du manque de diligence de la société dans la correction de la vulnérabilité et du fait que les documents accessibles révélaient des aspects très intimes de la vie des personnes. Elle a toutefois pris en compte, également, la taille de la société et sa surface financière. (Legifrance)

Cybersécurité, Entreprise, Fuite de données, loi, RGPD, Securite informatique

L’arnaque à la mise en conformité RGPD toujours en pleine forme !

Je vous faisais écouter, voilà bientôt un an, un interlocuteur proposant de vendre une mise en conformité RGPD. Une arnaque qu’avait dénoncé la CNIL dans un avertissement à destination des entreprises françaises. L’arnaque ne cesse pas !

Entré en application, il y a un an (le 25 mai 2018), le RGPD est plus que jamais un prétexte idéal pour des campagnes d’arnaques ciblant les entreprises françaises. Le blog ZATAZ avait été l’un des premier à alerter sur ce sujet [1] [2]. Depuis quelques semaines, une nouvelle variante de l’arnaque à la mise en conformité RGPD cible les entreprises. Cette arnaque est déjà connue, mais ici la méthode semble différente et très efficace. Décryptage de l’arnaque par Vade Secure, entreprise basée dans les Hauts de France, à Hem (59).

Un premier contact par courrier

Les escrocs ciblent les entreprises au travers d’une campagne de courriers au sujet d’une plainte d’un client concernant la mise en conformité à la RGPD. La technique est efficace. Des couleurs qui font officielles et des qui font peur.

« Si nous nous arrêtons quelques secondes sur ce document, le titre de la société – Comité Européen de la protection des données CFFE – semble reprendre le nom du Comité Européen de la protection des données CEPD, présent dans le texte de la RGPD à la section 3 du Chapitre VII (articles 68 à 76) » indique Sébastien Gest, Tech Évangéliste de Vade Secure.

L’adresse associée au dit comité est en fait une adresse de domiciliation située dans le 8e arrondissement de Paris. Contacté, l’interlocuteur de la société explique qu’il croule sous les appels pour ce même sujet depuis 15 jours. Un numéro de téléphone indiqué dans le but de traiter cette plainte. La personne au bout du fil développe alors un argumentaire efficace dans le but de vendre une prestation d’audit de mise en conformité afin de résoudre cette situation. Ces numéros de téléphone sont largement commentés et dénoncés.

Le paiement demandé par mail

Suite à cet appel un email contenant un lien de paiement par carte bancaire est envoyé dans le but de finaliser la transaction. D’un montant de 1194€, la prestation semble correspondre à un « Audit et à la rédaction du référentiel de traitement des données ».

Nous retrouvons dans cet email l’email présent dans le document papier mais ici en tant qu’expéditeur. Un lien de paiement par carte bancaire est ainsi proposé et ainsi qu’une nouvelle adresse apparaissant dans le but de contacter le support. Les domaines utilisent des extensions .eu et .online et sont déposés via le registrar américain namecheap.

En signature de cet email apparaît également le nom d’une société Française experte dans les domaines de la RGPD. Il ne nous est pas possible de certifier une possible implication de cette société dans cette escroquerie, nous avons donc souhaité de ne pas la citer.

Une arnaque ressemblant fortement à l’arnaque au support téléphonique

L’entreprise pensant devoir se mettre en conformité va dans les faits consommer une prestation dont elle n’a pas le besoin. Il est difficile d’évaluer le nombre de sociétés escroquées. Le seul indicateur reste le nombre de signalements sur les sites anti-escroqueries qui augmentent de jour en jour.

Porter plainte et faire un signalement aux autorités ? Clairement oui ! Les services de l’état ont mis en place le site https://www.pre-plainte-en-ligne.gouv.fr/ permettant de déposer une pré-plainte. À l’issue de ce signalement, un rendez-vous en gendarmerie est proposé. Il est vivement recommandé de déposer plainte et de faire remonter les informations aux services de Gendarmerie compétents.

Base de données, Cybersécurité, Entreprise, Fuite de données, Justice, loi, RGPD, Securite informatique

RGPD : la protection des données reste un enjeu majeur

Entré en vigueur le 25 mai 2018, le règlement général sur la protection des données personnelles (RGPD) continue de donner des cauchemars à de nombreux dirigeants d’entreprises et responsables juridiques. Soucieuse de ne pas laisser la discussion s’éteindre alors que de nombreux progrès restent à faire, la CNIL a récemment publié un premier bilan, plus de 6 mois après la mise en application du texte. Le nombre de sites web qui se sont mis en conformité avec le RGPD est encore trop anecdotique et la progression reste faible. Cela s’entend d’une part assez facilement du fait du flou de la position de la CNIL et de ses éventuelles sanctions qui planent ; et d’autre part du fait de la difficulté à remplir toutes les conditions pour être RGPD-compliant. En effet, nombre d’entreprises sont dépassées par l’application du texte de la CNIL, et n’arrivent pas à envisager de tels changements. Néanmoins, si la mise en place d’actions pour être conforme au RGPD n’est pas une mince affaire, passer par une agence de mise en conformité RGPD compétente et experte reste encore la meilleure solution pour rapidement et efficacement rendre votre site web fidèle aux attentes de la CNIL et vous éviter les lourdes sanctions encourues.

Parmi les principaux chiffres à retenir, 1 200 à 1 300 notifications de violation de données ont été reçues par la commission. Ces chiffres déjà impressionnants ne sont que la partie visible de l’iceberg.

Pour Tanguy de Coatpont, Directeur général Kaspersky Lab France : « Il ne fait aucun doute que le nombre de violations de données en France est bien plus élevé. Malgré les efforts combinés de la CNIL et de l’ANSSI pour sensibiliser les entreprises, elles sont encore nombreuses à ignorer ce qu’est une violation de données et méconnaître les obligations que leur impose le RGPD. Pour les petites et moyennes entreprises notamment, c’est un véritable casse-tête car elles ne disposent souvent pas des compétences juridiques et informatiques nécessaires. Les utilisateurs sont les premiers pénalisés par cette situation, car leurs données personnelles exposées sont à la merci de personnes mal intentionnées qui souhaiteraient les monnayer d’une façon ou d’une autre. »

Entré en vigueur le 25 mai 2018, le règlement général sur la protection des données personnelles (RGPD) continue de donner des cauchemars à de nombreux dirigeants d’entreprises et responsables juridiques. Soucieuse de ne pas laisser la discussion s’éteindre alors que de nombreux progrès restent à faire, la CNIL a récemment publié un premier bilan, plus de 6 mois après la mise en application du texte. Le nombre de sites web qui se sont mis en conformité avec le RGPD est encore trop anecdotique et la progression reste faible. Cela s’entend d’une part assez facilement du fait du flou de la position de la CNIL et de ses éventuelles sanctions qui planent ; et d’autre part du fait de la difficulté à remplir toutes les conditions pour être RGPD-compliant. En effet, nombre d’entreprises sont dépassées par l’application du texte de la CNIL, et n’arrivent pas à envisager de tels changements. Néanmoins, si la mise en place d’actions pour être conforme au RGPD n’est pas une mince affaire, passer par une agence de mise en conformité RGPD compétente et experte reste encore la meilleure solution pour rapidement et efficacement rendre votre site web fidèle aux attentes de la CNIL et vous éviter les lourdes sanctions encourues.

Une difficile mise en conformité, face à des menaces qui ne faiblissent pas

Une étude réalisée en novembre 2018 sur les mesures de sécurité et de protection prises par les PME depuis la mise en application du RGPD. Réalisée auprès de 700 décideurs en fin d’année 2018, elle révèle que près de 50% des PME n’ont pas renforcé leurs mesures de sécurité ; près de 77% n’ont pas réalisé d’audit de sécurité ; 1 PME sur 2 ne forme pas ses salariés aux questions de protection de données personnelles et de cybersécurité.

Pourtant, les menaces ne faiblissent pas

En 2018, 30,1% des utilisateurs de produits de l’éditeur de solutions commerciales de cybersécurité ont été confrontés à une attaque web de type malware, contre 29,4% en 2017. En 2018, 554 159 621 URLs uniques ont été reconnus comme malveillantes, contre 199 455 606 en 2017 (+178%). 1 876 998 691 attaques lancées repoussées, depuis des ressources en ligne, contre 1 188 728 338 en 2017.

Base de données, Cybersécurité, Entreprise, Fuite de données, IOT, loi, Mise à jour, RGPD, Securite informatique

Microsoft confronté au RGPD en raison d’une collecte de données via Word, Excel, PowerPoint et Outlook

Le gouvernement néerlandais vient de rendre public un rapport commandité à la Privacy Company et ayant pour mission de montrer du doigt la collecte de données appartenant aux utilisateurs de Word, Excel, PowerPoint et Outlook.

Selon le rapport de The Privacy Compagny, Microsoft, via Office 365 et Office 2016, collecterait des données sans l’autorisation de ses utilisateurs. Commandité par le gouvernement néerlandais, l’enquête a eu pour mission de démontrer une sauvegarde d’informations personnelles sur des serveurs américains, ce qu’interdit le Règlement Général de la Protection des Données. Seconde plainte, les utilisateurs dans l’ignorance de cette collecte. De plus, Microsoft refuse d’indiquer le contenu de cette collecte via Word, Excel, PowerPoint ou encore Outlook.

« Microsoft collecte systématiquement et à grande échelle des données sur l’utilisation individuelle de Word, Excel, PowerPoint et Outlook. Indique The Privacy Company. Et elle le fait en catimini, sans en avertir les utilisateurs. Microsoft ne précise absolument pas la quantité de données. L’entreprise ne permet pas non plus la désactivation. De savoir quelles informations sont collectées, car le flux des données est chiffré. ». Selon l’enquête, le géant américain mettrait à jour entre 23 000 et 25 000 « events » (sic!). 20 à 30 équipes d’ingénieurs travailleraient avec ces données. Windows 10 ne collecterait « que » 1 000 à 1 200 events.

Microsoft a rappelé qu’il existait une version d’Office sans le moindre transfert de données. Une mise à jour, prévue en avril 2019, doit corriger la collecte incriminée par TPC.

Communiqué de presse, Cybersécurité, Justice, loi, Mise à jour, RGPD, Securite informatique

RGPD : la CNIL précise les compétences du DPO

Le RGPD est entré en vigueur depuis plus de 5 mois et le ratio du nombre d’entreprises en conformité serait encore faible (inférieur à 25%) en France, si l’on en croit différentes études récentes et non-officielles. On sait en revanche que la CNIL, garante de la protection des données des citoyens français, a reçu 13 000 déclarations de DPO, soit seulement 16% des 80 000 estimées nécessaires. Le Délégué à la Protection des Données est pourtant considéré par la CNIL comme la clé de voûte de la conformité au règlement européen.

Pour mémoire, le RGPD est la nouvelle réglementation mise en place le 25 mai 2018 par l’Union Européenne pour contraindre toutes les organisations à garantir leur contrôle sur la collecte, le stockage et l’utilisation des données à caractère personnel des ressortissants européens. Les conséquences peuvent être très lourdes pour les entreprises, avec des amendes pouvant atteindre 20 millions d’euros ou 4% du chiffre d’affaires annuel mondial. Sans compter bien sûr le risque sur la réputation de la société, sa perte de clientèle, les frais de procédures en cas de plaintes, etc.

RGPD et DPO : quelles sont les obligations de l’entreprise ?

Pour être en mesure de tenir leurs engagements, les entreprises doivent donc se doter d’un DPO, dont les missions sont stratégiques : conseils organisationnels, techniques et juridiques sur la bonne sécurité des données, relations avec la CNIL et les autres DPO, gestion des demandes d’exercice des droits, du respect des règles (Accountability) et des risques encourus.

D’après la CNIL, dans le cadre de la mise en application du RGPD, l’entreprise a l’obligation de :
Choisir son DPO en fonction de son expertise.
Veiller à ce que son expert reçoive la formation et les moyens matériels, financiers et intellectuels nécessaires pour mener à bien sa mission.
Veiller à ce que son DPO exerce ses activités sans conflit d’intérêts, en toute indépendance, qu’il puisse rendre compte de son action au plus haut niveau de l’entreprise.

Le choix du DPO doit être pris en fonction de ses compétences, mais aussi de son expérience de la protection des données, selon l’exposition aux risques identifiés de l’entreprise (classement risques EBIOS) :
Exposition basse : un minimum de 2 ans d’expérience peut être suffisant.
Exposition très haute : un minimum de 5 à 15 ans d’expérience peut s’avérer nécessaire.

Si l’on considère la pénurie actuelle de DPO et le caractère récent du métier, ces exigences d’expérience peuvent apparaître compliquées à remplir par tous.

Compétences et savoir-faire du DPO

Pour répondre aux nombreux questionnements des entreprises, la CNIL a publié au Journal Officiel le 11 octobre un référentiel listant les 17 critères cumulatifs auxquels un DPO doit pouvoir répondre pour être certifié par un organisme certificateur. Une démarche d’autant plus attendue que les profils ont été jugés très hétérogènes parmi les 13 000 DPO déclarés à la CNIL. Les compétences et savoir-faire que les DPO doivent satisfaire peuvent être regroupés en trois catégories, organisationnelle, juridique et technique :

Les savoirs organisationnels : le DPO conseille l’entreprise dans l’élaboration de procédures et politiques, ce qui induit des connaissances en gouvernance des entreprises. Par ailleurs, il est en mesure de mener un audit de conformité et de proposer des mesures de réduction ou gestion des risques, de les évaluer et d’en surveiller la mise en œuvre.

Les savoirs techniques et informatiques : le DPO doit mettre en œuvre les principes de minimisation ou d’exactitude, d’efficacité et d’intégrité des données et pouvoir exécuter les demandes de modification et d’effacement de données, ce qui impacte les systèmes et solutions de l’entreprise. Le DPO doit être ainsi force de conseils et de recommandations pour la mise en œuvre du « Privacy by Design » dans l’entreprise.

Les savoirs juridiques

Le DPO est un expert en protection juridique et règlementaire des données à caractère personnel. Outre le RGPD, il peut conseiller l’entreprise en cas de conflit de lois. Il participe à l’élaboration des contrats avec les partenaires, peut négocier avec le DPO du partenaire les clauses de protection de données personnelles. Il a également un rôle essentiel à jouer en matière de contentieux : il est l’interlocuteur de la CNIL et il instruit les plaintes des personnes concernées.

Avec ce référentiel de certification, l’entreprise dispose donc désormais d’éléments pour vérifier l’adéquation des savoirs en place en interne. Et force est de constater que le DPO doit faire figure de super-héros multi-compétences aux expertises transverses dans de nombreux domaines. Par ailleurs, il s’avère dans la pratique que la seule connaissance du texte de loi est insuffisante pour être en mesure de répondre à ces exigences.

La nécessaire montée en expertise du DPO

L’entreprise qui constate ne pas être en capacité à répondre aux critères du référentiel se trouve dans une position potentiellement à risque. Si elle dispose déjà d’un DPO en place, déclaré à la CNIL ou pas encore, il s’agit de mesurer l’écart d’expertise à combler et de l’accompagner en mettant à sa disposition les moyens matériels, financiers et intellectuels pour lui permettre d’atteindre les objectifs.

Selon l’exposition aux risques identifiées par l’entreprise, elle peut faire le choix d’une montée en expertise dans les catégories prioritaires pour elle. Par exemple, si l’organisation a une part importante de son activité en gestion par des prestataires externes. Elle devra les auditer régulièrement et réviser sa politique contractuelle. Le DPO, très attendu sur les aspects juridiques et audits. Il pourra alors avoir besoin d’un soutien sur des points précis tels que : auditer un traitement ou une conformité, mener un DPIA et gérer les risques, élaborer une procédure…

Le référentiel de la CNIL fixe le plancher des connaissances au suivi d’une formation de 35h sur le RGPD, afin d’en avoir une vision synthétique. Cela pourra s’avérer insuffisant tant la plupart des missions du DPO requiert des expertises fines dans des domaines très divers.

En prenant en compte l’isolement du DPO dans ses fonctions du fait de leur nature, et que la collaboration ou l’émulation avec des profils plus seniors dans l’entreprise est donc rarement possible, il n’est effectivement pas simple d’organiser un accompagnement dans sa montée en compétence. La CNIL encourage donc les DPO à s’organiser en groupes de travail réunis par secteurs d’activité, territoires ou même pour les indépendants à mutualiser leurs fonctions pour plusieurs entreprises. Cette approche ne produira néanmoins des résultats qu’à moyen terme et remplacera difficilement un transfert de savoir-faire par des DPO seniors.

Le choix de l’externalisation

Si l’entreprise ne dispose pas encore de DPO, ou si l’écart d’expertise à combler est trop important, l’externalisation totale ou partielle des fonctions de DPO peut être une option viable. Pour une entreprise de petite ou moyenne taille qui ne souhaite pas disposer d’un DPO en interne, avoir recours à des services extérieurs mutualisés est une des possibilités les plus pertinentes. Mais une externalisation partielle présente aussi l’avantage d’accompagner le DPO interne dans une partie de ses activités, avec un partage des pratiques professionnelles à l’aune des contraintes de l’entreprise. Une approche qui gagnera en efficacité si elle envisage un plan global de formation du DPO. (Par Patricia Chemali-Noël, Expert en Protection des Données chez Umanis)

backdoor, Base de données, Chiffrement, cryptage, Cybersécurité, Entreprise, Fuite de données, loi, ransomware, Securite informatique

RGPD cas d’école : hôpital

Un logiciel malveillant a récemment touché plusieurs sites Web de l’hôpital de Floride. Certaines informations patients concernées.

« L’ampleur de cette exposition a été limitée et il a été confirmé qu’aucun dossier financier n’a été affecté » indique le communiqué de presse de l’hôpital de Floride. Une alerte lancée par l’hôpital de Floride à la suite du piratage de plusieurs de ses sites web : FloridaBariatric.com, FHOrthoInstitute.com et FHExecutiveHealth.com. Les espaces web ont été mis hors ligne le temps de la correction (et de l’enquête). Les informations des patients exposées sur FloridaBariatric.com comprennent les noms, les adresses mails, les numéros de téléphone, les dates de naissance, la taille, le poids, les compagnies d’assurance et les quatre derniers chiffres des numéros de sécurité sociale. Pour les deux autres sites, les informations compromises se limitent au nom, à l’adresse courriel, au numéro de téléphone et à à l’ensemble des commentaires fournis par l’individu. Bref, un ransomware activé après un clic malheureux sur un fichier joint !

Banque, Base de données, Cybersécurité, Entreprise, Fuite de données, Justice, loi, RGPD, Sauvegarde, Securite informatique

RGPD cas d’école banque

RGPD cas d’école banque – La banque du Commonwealth a perdu les antécédents financiers personnels de 12 millions de clients, et a choisi de ne pas révéler la violation aux consommateurs !

RGPD cas d’école banque – L’une des plus grandes violations de la vie privée des services financiers vient de toucher l’Australie et plus précisément la banque du Commonwealth. Cette dernière a perdu les antécédents financiers personnels de 12 millions de clients, et a choisi de ne pas révéler la violation aux consommateurs ! Des informations courant de 2004 à 2014. Le fautif, un sous-traitant qui a perdu plusieurs lecteurs de bandes contenant les informations financières.

Une « perte » qui a eu lieu en 2016.

Angus Sullivan, responsable des services bancaires de la Commonwealth Bank, a déclaré à BuzzFeed News que sa société « prenait la protection des données des clients très au sérieux et les incidents de ce type ne sont pas acceptables.« 

Les relevés bancaires perdus contiennent des renseignements personnels potentiellement sensibles et peuvent brosser un portrait détaillé des affaires financières et personnelles d’une personne. Ils pourraient être détournés par des pirates ou exploités par des sociétés commerciales qui pourraient utiliser les données à des fins illégitimes ou contraires à l’éthique. Pas de mot de passe et autres code PIN dans les bandes perdues.

BuzzFeed News a appris que la violation s’est produite en 2016, lorsque le sous-traitant de la banque, Fuji Xerox, mettait hors service un centre de stockage de données où certaines données de clients de la Banque Commonwealth étaient stockées. Le 25 mai 2018 en France, il faudra alerter la CNIL, les clients… et en cas de faute avérée, risquer une amende pouvant atteindre 4% de son chiffre d’affaire.

Base de données, Chiffrement, Cybersécurité, double authentification, Entreprise, Fuite de données, Justice, loi, RGPD, santé, Securite informatique

RGPD cas d’école santé

RGPD cas d’école – Une infirmière consulte des données de santé sans autorisation. L’hôpital obligé d’alerter plusieurs centaines de patients.

RGPD cas d’école – L’Office régional de la santé de Winnipeg (canada) indique son obligation d’alerter des centaines de patients après qu’une infirmière ait accédé de façon inappropriée à des renseignements médicaux personnels. L’autorité indique dans un communiqué de presse que l’infirmière, qui avait accès au système d’information du service des urgences, a fouillé de façon inappropriée alors qu’elle travaillait à l’extérieur de service d’urgence de l’hôpital de Grace.

Un cas que pourraient vivre des centaines d’hôpitaux Français à partir du 25 mai 2018. « L’accès à notre système d’information sur les urgences est vital pour les infirmières et les employés du service des urgences afin qu’ils puissent avoir accès à des renseignements sur la prestation des soins à n’importe quel moment de leur quart de travail, déclare l’ORSW. La seule fois où l’information peut être utilisée à l’extérieur du service des urgences, cependant, est pour les transferts de patients – ce qui n’a pas eu lieu dans ce cas. » 1 756 patients sont concernés par cette consultation non autorisée. Le 25 mai 2018 en France, il faudra alerter la CNIL, les patients.

Cybersécurité, Securite informatique

Protection des données personnelles : le Sénat a adopté le projet de loi en nouvelle lecture

Jeudi 19 avril 2018, le Sénat a adopté en nouvelle lecture, par 307 voix pour et 0 voix contre, le projet de loi relatif à la protection des données personnelles.

Nombre de votants : 343
Suffrages exprimés : 307
Pour : 307
Contre : 0

Ce projet de loi vise à :

  • mettre en conformité des dispositions nationales avec le droit de l’Union européenne en matière de protection des données personnelles, en particulier avec le règlement général sur la protection des données (RGPD) du 27 avril 2016 qui a pour objectifs de renforcer les droits des personnes physiques, de responsabiliser tous les acteurs traitant des données et de crédibiliser la régulation ;
  • tirer parti des marges de manœuvre ménagées par le droit de l’Union européenne, notamment en maintenant des régimes spécifiques ;
  • transposer la directive européenne relative aux traitements mis en œuvre en matière policière et judiciaire.

Sur le rapport de Mme Sophie JOISSAINS (Union centriste – Bouches-du-Rhône), la commission des lois a rétabli en nouvelle lecture les principales dispositions adoptées par le Sénat en première lecture, visant notamment à :

  • mieux accompagner les collectivités territoriales, en :
    • affectant le produit des amendes prononcées par la CNIL au financement de mesures d’accompagnement ;
    • créant une dotation communale et intercommunale pour la protection des données à caractère personnel ;
    • supprimant, comme pour l’État, la faculté pour la CNIL de leur imposer des amendes et astreintes administratives ;
  • renforcer les garanties pour les droits et libertés des citoyens, en :
    • prévoyant une autorisation préalable des traitements de données pénales ;
    • encourageant le recours au chiffrement des données personnelles ;
    • maintenant le droit général à la portabilité des données non personnelles ;
    • s’assurant que les utilisateurs de terminaux électroniques aient le choix d’y installer des applications respectueuses de la vie privée ;
    • encadrant plus strictement l’usage des algorithmes par l’administration pour prendre des décisions individuelles, tout en renforçant les garanties de transparence en la matière, par exemple pour les inscriptions à l’université (« Parcoursup ») ;
    • maintenant à 16 ans l’âge du consentement autonome au traitement des données des mineurs.